Economía de la extorsión
Mira la sesión informativa digital Cyber Signals en el que Vaku Jakkal, vicepresidente corporativo de Microsoft Security, entrevista a algunos de los principales expertos en inteligencia sobre amenazas sobre la economía del ransomware y cómo las organizaciones pueden protegerse.
Sesión informativa digital: Protegerse contra la economía del ransomware
Los nuevos modelos empresariales ofrecen información reciente para defensores
Al mismo tiempo que muchos sectores están realizando una transición hacia trabajadores esporádicos, los ciberdelincuentes están alquilando o vendiendo sus herramientas de ransomware a cambio de parte de los beneficios, en lugar de realizar los ataques ellos mismos.
El ransomware como servicio permite a los ciberdelincuentes comprar acceso a cargas útiles de ransomware y filtraciones de datos así como un pago de infraestructura. Las "bandas" de ransomware son en realidad programas de RaaS como Conti o REvil, usados por muchos actores diferentes que cambian entre programas de RaaS y cargas útiles.
El RaaS reduce la barrera de entrada y ofusca la identidad de los atacantes tras los rescates. Algunos programas tienen más de 50 "afiliados", como denominan a los usuarios de sus servicios, con varias herramientas, habilidades y objetivos. De la misma forma que cualquier persona con un coche puede conducir para un servicio de transporte de pasajeros, cualquiera con un portátil y una tarjeta de crédito que esté dispuesto a realizar una búsqueda en la web oscura herramientas de pruebas de penetración o malware preparado puede unirse a la economía.
Esta industrialización del ciberdelito ha creado roles especializados, como agentes de acceso que vende acceso a redes. Una sola vulnerabilidad suele implicar varios ciberdelincuentes en distintas fases de la intrusión.
Los kits de RaaS pueden encontrarse fácilmente en la web oscura y se publicitan de la misma forma que bienes comunes se publicitan en Internet.
Un kit de RaaS puede incluir soporte de un servicio de atención al cliente, ofertas agrupadas, foros y otras características. Los ciberdelincuentes pueden pagar un precio conjunto por un kit RaaS a la vez que otros grupos venden RaaS bajo un modelo afiliado y se llevan un porcentaje de los beneficios.
Los ataques de ransomware implican decisiones basadas en configuraciones de redes y son distintas para cada víctima incluso si se utiliza la misma carga útil de ransomware. El ransomware culmina un ataque que puede incluir filtraciones de datos y otros impactos. Debido a la naturaleza interconectada de la economía de los ciberdelincuentes, intrusiones que pueden parecer no relacionadas pueden potenciarse entre si. El malware de robo de información, que roba contraseñas y cookies, se trata con menor gravedad, pero los ciberdelincuentes pueden vender estas contraseñas para permitir otros ataques.
Estos ataques siguen una plantilla de acceso inicial mediante la infección con malware o el aprovechamiento de una vulnerabilidad y el posterior robo de credenciales para elevar los privilegios y moverse lateralmente. La industrialización permite a los atacantes llevar a cabo ataques de ransomware impactantes y prolíficos sin necesidad de sofisticación o aptitudes avanzadas. Desde el apagado de Conti hemos observado cambios en el entorno de ransomware. Algunos afiliados que han implementado Conti pasaron a usar cargas útiles de ecosistemas de RaaS establecidos como LockBit y Hive, mientras que otros implementan de forma simultánea cargas útiles de varios ecosistemas de RaaS.
Los nuevos RaaS como QuantumLocker y Black Basta están llenando el hueco que ha dejado el apagado de Conti. Dado que la mayoría de la cobertura del ransomware se centra en cargas útiles en lugar de en los acotes, este cambio entre cargas útiles se debe probablemente a un intento de confundir a los gobiernos, las fuerzas policiales, los medios, los investigadores de seguridad y los defensores sobre quién está tras los ataques.
Los informes sobre ransomware pueden parecer un problema que escala sin fin; sin embargo, la realidad es un conjunto finito de actores usando el conjunto de técnicas.
Recomendaciones:
- Desarrolla la higiene de credenciales: desarrolla una segmentación de red lógica basada en privilegios que pueda implementarse junto con la segmentación de red para limitar el movimiento lateral.
- Audita la exposición de credenciales: auditar la exposición de las credenciales es fundamental para prevenir los ataques de ransomware y el ciberdelito en general. Los equipos de seguridad de TI y los SOC pueden colaborar para reducir los privilegios administrativos y comprender el nivel de exposición de sus credenciales.
- Reducir la superficie expuesta a ataques: Establece reglas de reducción de la superficie expuesta a ataques para evitar las técnicas de ataque más comunes usadas en los ataques de ransomware. En los ataques observados de varios grupos de actividad asociados al ransomware, las organizaciones con reglas claramente definidas han podido mitigar los ataques en sus fases iniciales, al tiempo que impedían la actividad práctica.
Los ciberdelincuentes añaden doble extorción a las estrategias de ataque
El ransomware existe para extorsionar pagos a una víctima. La mayoría de programas de RaaS actuales también filtran datos robados, lo que se conoce como una doble extorsión. A medida que las interrupciones causan repercusiones y los ataques a los operadores de ransomware aumentan, algunos grupos han dejado de lado el ransomware y han pasado a la extorsión de datos.
Dos grupos centrados en la extorsión son DEV-0537 (también conocido como LAPSUS$) y DEV-0390 (un antiguo afiliado de Conti). Las intrusiones de DEV-0390 se inician a partir de malware pero usan herramientas legítimas para filtrar datos y extorsionar los pagos. Implementan herramientas de pruebas de penetración como Cobalt Strike, Brute Ratel C4 y la utilidad de administración remota Atera legítima para mantener el acceso a una víctima. DEV-0390 escalará los privilegios robando credenciales, localizando datos confidenciales (a menudo copias de seguridad corporativas y servidores de archivos) y enviará los datos a un sitio de uso compartido de archivos en la nube mediante una utilidad de copia de seguridad.
DEV-0537 usa una estrategia y aptitudes muy diferentes. Obtiene el acceso inicial mediante la compra de credenciales en el marcado negro o a otros empleados de las organizaciones objetivo.
Problemas
- Contraseñas robadas e identidades no protegidas
Más que el malware, los atacantes necesitan credenciales para tener éxito. En casi todas las implementaciones de ransomware exitosas, los atacantes obtiene acceso a cuentas de nivel de administrador con privilegios que conceden acceso a la red de una organización. - Productos de seguridad faltantes o deshabilitados
En casi todos los incidentes de ransomware observados, al menos un sistema explotado en el ataque contaba con productos de seguridad faltantes o mal configurados que permitieron a los intrusos alterar o deshabilitar ciertas protecciones. - Aplicaciones mal configuradas o abusadas
Puedes usar una aplicación popular para un propósito, pero eso no implica que los criminales puedan utilizarla en tu contra para otro objetivo. Con frecuencia, las configuraciones "heredadas" implican que una aplicación está en su estado predeterminado, lo que permite a cualquier usuario obtener acceso amplio a todas las organizaciones. No debes pasar por alto este riesgo ni dudar a la hora de cambiar la configuración de las aplicaciones por miedo a causar interrupciones. - Aplicación de revisiones lenta
Es un estereotipo, como "¡Cómete tus vegetales!", pero es una realidad fundamental: La mejor forma de fortalecer el software es mantenerlo actualizado. Mientras que algunas aplicaciones basadas en la nube se actualizan sin necesidad de acciones por parte de los usuarios, las empresas deben aplicar las revisiones de proveedores inmediatamente. En 2022 Microsoft observó que vulnerabilidades antiguas siguen siendo uno de los principales habilitadores de ataques. - Contraseñas robadas e identidades no protegidas
Más que el malware, los atacantes necesitan credenciales para tener éxito. En casi todas las implementaciones de ransomware exitosas, los atacantes obtiene acceso a cuentas de nivel de administrador con privilegios que conceden acceso a la red de una organización. - Productos de seguridad faltantes o deshabilitados
En casi todos los incidentes de ransomware observados, al menos un sistema explotado en el ataque contaba con productos de seguridad faltantes o mal configurados que permitieron a los intrusos alterar o deshabilitar ciertas protecciones. - Aplicaciones mal configuradas o abusadas
Puedes usar una aplicación popular para un propósito, pero eso no implica que los criminales puedan utilizarla en tu contra para otro objetivo. Con frecuencia, las configuraciones "heredadas" implican que una aplicación está en su estado predeterminado, lo que permite a cualquier usuario obtener acceso amplio a todas las organizaciones. No debes pasar por alto este riesgo ni dudar a la hora de cambiar la configuración de las aplicaciones por miedo a causar interrupciones. - Aplicación de revisiones lenta
Es un estereotipo, como "¡Cómete tus vegetales!", pero es una realidad fundamental: La mejor forma de fortalecer el software es mantenerlo actualizado. Mientras que algunas aplicaciones basadas en la nube se actualizan sin necesidad de acciones por parte de los usuarios, las empresas deben aplicar las revisiones de proveedores inmediatamente. En 2022 Microsoft observó que vulnerabilidades antiguas siguen siendo uno de los principales habilitadores de ataques.
Acciones
- Identidades de autenticación Aplica la autenticación multifactor (MTFA) en todas las cuentas, da prioridad a los administradores y otros roles confidenciales. Con una plantilla híbrida debe aplicarse MFA en todos los dispositivos, en todas las ubicaciones, en todo momento. Habilita la autenticación sin contraseña como las claves de FIDO o Microsoft Authenticator para aplicaciones que la admiten.
- Responder a los ángulos muertos de seguridad
Al igual que las alarmas contra incendios, los productos de seguridad deben instalarse en los lugares adecuados y revisarse con frecuencia. Comprueba que las herramientas de seguridad funcionen con su configuración más segura y que ninguna parte de la red está desprotegida. - Proteger los recursos con acceso a Internet
Considera eliminar las aplicaciones innecesarias o que no se usan para eliminar servicios no usados de riesgo. Evalúa detenidamente si debes permitir las aplicaciones de asistencia técnica remota como TeamViewer. Los actores de amenazas suelen atacar este tipo de aplicaciones para obtener acceso rápido a los portátiles. - Mantener los sistemas actualizados
Convierte el registro de inventarios de software un proceso continuo. Realiza un seguimiento del software que usas y da prioridad en el soporte para esos productos. Usa tu capacidad de instalar revisiones de forma rápida y eficaz para evaluar en qué situaciones realizar la transición a servicios basados en la nube puede ser beneficioso.
Los actores de amenazas comprenden la naturaleza interconectada de las identidades y las relaciones de confianza en los ecosistemas de tecnología y, en consecuencia, atacan los servicios de TI, tecnología y telecomunicaciones, y las empresas de asistencia para aprovechar el acceso de algunas organización para entrar en las redes de socios o proveedores. Los ataques de solo extorsión demuestran que los defensores de las redes deben ir más allá del ransomware de fase final y supervisar atentamente la filtración de datos y los movimientos de datos.
Si un actor de amenaza está planeando extorsionar a una organización para conservar sus datos privados, una carga de trabajo de ransomware es la parte menos significativa y menos valiosa de la estrategia de ataque. En última instancia, depende de un operador qué decide implementar, y el ransomware no siempre ofrece los grandes beneficios que buscan los actores de amenazas.
Si bien el ransomware o la extorsión doble pueden parecer un resultado inevitable de un ataque por un atacante sofisticado, el ransomware es un desastre evitable. La dependencia de las vulnerabilidades de seguridad por parte de los atacantes implica que una inversión en ciberhigiene puede ser muy rentable.
La visibilidad única de Microsoft nos ofrece una ventana a las actividades de los actores de amenazas. En lugar de depender de las publicaciones en foros o las filtraciones de chats, nuestros equipos de expertos de seguridad estudian nuevas tácticas de ransomware y desarrollan inteligencia sobre amenazas que informa a nuestras soluciones de seguridad.
La protección contra amenazas integrada en los dispositivos, identidades, correos electrónicos, datos y nube nos ayuda a identificar los ataques que podrían etiquetarse como varios actores, cuando en realidad se trata de un único conjunto de ciberdelincuentes. Nuestra Unidad de Delitos Digitales compuesta de expertos técnicos, legales y empresariales continúa colaborando con fuerzas policiales para acabar con la ciberdelincuencia
Recomendaciones:
Microsoft cuenta con recomendaciones detalladas en https://go.microsoft.com/fwlink/?linkid=2262350.
Escucha a nuestra analista de inteligencia sobre amenazas Emily Hacker hablar sobre cómo estar al día del panorama cambiante del ransomware como servicio.
dirigió la eliminación de más de 531 000 URL de suplantación de identidad únicas y 5400 kits de suplantación de identidad entre julio de 2021 y junio 2022, lo que llevó a la identificación y el cierre de más de 1400 cuentas de correo electrónico malintencionadas usadas para recopilar credenciales de cliente robadas.1
el tiempo medio que necesita un atacante para acceder a tus datos privados si eres víctima de un correo electrónico de suplantación de identidad es 1 hora y 12 minutos.1
el tiempo medio que necesita un atacante para empezar a moverse lateralmente en tu red corporativa si un dispositivo se ve en peligro es 1 hora y 42 minutos.1
- [1]
Metodología: Para los datos de instantánea, los servicios y las plataformas de Microsoft, que incluyen Defender, Azure Active Directory y nuestra Unidad de Delitos Digitales, proporcionaron datos anonimizados sobre la actividad de las amenazas, por ejemplo, las cuentas de correo malintencionadas, los correos electrónicos de phishing y el movimiento de los atacantes en las redes. La información adicional proviene de los 43 billones de señales de seguridad diarias obtenidas en Microsoft, incluida la nube, los puntos de conexión, la inteligencia perimetral y nuestros Equipos de detección y respuesta y Expertos en recuperación de seguridad vulnerada.
Seguir a Seguridad de Microsoft